如何妥善保護個人資料 - yzu.edu.tw¦‚何妥善保護個人資料.pdf ·...
65
個資不是空氣,但是常常外洩 如何妥善保護個人資料 元智大學圖書資訊服務處
Transcript of 如何妥善保護個人資料 - yzu.edu.tw¦‚何妥善保護個人資料.pdf ·...
個資不是空氣,但是常常外洩
如何妥善保護個人資料
元智大學圖書資訊服務處
如何妥善保護個人資料
校務行政與個資法
如何保護數位化的個資?
個資外洩時的處理方式
問題與討論
如何妥善保護個人資料
校務行政與個資法
校務行政與個資法
何謂個人資料
校務行政相關的個人資料
個資蒐集前的告知義務
校務相關個資的合理蒐集及使用範圍
合理使用案例
何謂個人資料?
自然人
一般資料
• 姓名 • 出生年月日 • 身份證 • 護照號碼 • 特徵 • 指紋 • 婚姻 • 家庭 • 教育 • 職業 • 病歷 • 聯絡方式 • 財務情況 • 社會活動
特種資料
• 醫療 • 基因 • 性生活 • 健康檢查 • 犯罪前科
其他資料
得以直接或間接方式識別該個人之資料
何謂個人資料?
自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
特種個人資料 包括醫療、基因、性生活、健康檢查、犯罪前科: 除第6條所定情形外,不得蒐集、處理或利用。
何謂個人資料?
將個人資料的判斷標準為「得以直接或間接方式識別該個人之資料」,即便未指名道姓,只要揭露,即足以識別為某一特定人之資料,即有個資法之適用。
校務行政相關的個人資料
教職員
人事基本資料
薪資
升遷調
獎懲記錄
出缺勤記錄
健康檢查記錄
保險
學生
個人基本資料
家庭狀況(清寒)
學業成績
出缺勤記錄
操行成績及獎懲記錄
輔導資料
健康檢查資料
個資蒐集前的告知義務
直接蒐集(8)
間接蒐集(9)
個資蒐集前的告知義務:直接蒐集
應告知事項 公務機關或非公務機關名稱 蒐集之目的 個人資料之類別 個人資料利用之期間、地區、對象及方式
當事人依第三條規定得行使之權利及方式。 查詢或請求閱覽。 請求製給複製本。 請求補充或更正。 請求停止蒐集、處理或利用。 請求刪除。 上述權利,不得預先拋棄或以特約限制
如當事人得自由選擇提供個人資料,不提供將對其權益之影響。
得免為告知之情況 依法律規定得免告知 個人資料之蒐集係公務機關執行法定職務所必要
告知將妨害公務機關執行法定職務
告知將妨害第三人之重大利益 當事人明知應告知之內容
個資蒐集前的告知義務:間接蒐集
應告知事項 公務機關或非公務機關名稱 蒐集之目的 個人資料之類別 個人資料利用之期間、地區、對象及方式
當事人依第三條規定得行使之權利及方式。 查詢或請求閱覽。 請求製給複製本。 請求補充或更正。 請求停止蒐集、處理或利用。 請求刪除。 上述權利,不得預先拋棄或以特約限制
個人資料來源
得免為告知之情況 依法律規定得免告知 個人資料之蒐集係公務機關執行法定職務所必要
告知將妨害公務機關執行法定職務 告知將妨害第三人之重大利益 當事人明知應告知之內容 當事人自行公開或其他已合法公開之個人資料
不能向當事人或其法定代理人為告知。
基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。
大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。
校務相關個資的合理蒐集及使用範圍
原則
不要因為擔心違反個資法,導致過度地「避免或迴避」必要資料之蒐集與使用。
個人資料保護的重點在於「保持個人資料的正確性,並且告知當事人所蒐集資料的特定目的,以及安全處理與使用方式與範圍,並作好適當的刪除與銷毀工作」。
個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯(5)。
合理使用案例
新生個資蒐集
校友資料的使用
畢業紀念冊
公佈學生名單
教職員保險
考績表
(資料來源:吳國維,「個人資料保護法現況與學校因應之道」,2012.10.24,NII產業發展協進會)
合理使用案例:新生個資蒐集
新生訓練是否為恰當時機讓學生知道學校可能利用其個人資料的狀況,學校也可一併在新生訓練或註冊時取得其同意授權? 除非學校使用個人資料有可能超過教育行政之特定目的,否則是不需要學生額外授權的。
但因為新法增加了「告知」的義務,因此在學生入學時應立刻履行告知義務,詳述學校使用個人資料之範圍用途等。
如果學校對於學生的個人資料有逾越特定目的之利用,應及早告知學生並取得其「書面同意」。
合理使用案例:校友資料的使用
學生畢業後是否仍可寄發活動通知? 或應該在學生畢業前先取得其同意授權?歷屆畢業生個人資料應如何管理才符合個資法? 學校使用校友個人資料還須符合「教育行政」之特定目的,若超過特定目的則不能使用,可能需要在畢業前取得學生授權。
一般人並不會反對辦校友活動會超過特定目的,但學校應與教育部、法務部溝通,確保學校能繼續使用校友資料。 此外,學校應建立控管機制避免校友資料外洩。
合理使用案例:校友資料的使用
學校是否可寄發與銀行合作發行的校園認同卡相關資料給校友?
學校當初蒐集校友個人資料之特定目的為教育或訓練行政,或學生資料管理。學校寄發認同卡相關資料給校友,構成利用校友個人資料之行為,似已逾越上述特定目的,除非取得校友之書面同意,否則不得為之。
合理使用範例:畢業紀念冊
畢業紀念冊上的學生資料是否屬於個人資料? 圖書館中陳列的歷屆畢業紀念冊是否應該管理?
畢業紀念冊上的學生資料是屬於個人資料。
過去畢業紀念冊的收集與公開並非違法行為,但因為現在有越來越多的販賣個人資料或詐騙個人資料之行為,所以學校應改變個人資料之保管方式,就能加以控管限制閱覽畢業紀念冊的人員。
合理使用案例:公佈學生名單
學校以電子郵件或以書面方式公告學生獎懲名單(學生姓名、學號)有違反個資法嗎?
有關獎懲應符合學校辦理教育行政之目的,公布並不違反個資法,但須注意公布學生名單時,應僅揭露必要之個資。
法務部表示,個資法的立法目的,在於個人隱私的「保護」,並不是個人資料的「保密」;學校為鼓勵學生張貼榮譽榜,符合公益目的,學生的名字當然可以公布。
合理使用案例:教職員保險
若我將同仁資料提供保險公司進行投保,那我有沒有利用(將蒐集之個人資料為處理以外之使用)的行為?我算對保險公司揭露個資嗎?
依據組織行政處裡,的確組織有權利提供保險公司(例如勞保局、健保局或學校團險承保公司,因為這是組織福利的一部份)有關同仁保險公司需要的資料。保險公司透過組織人事或行政人員取得這份資料後,保險公司只能作與保險業務範圍內的應用。
合理使用案例:考績表
考績表有公司名稱、姓名與分數,算個資嗎?
算!
如何妥善保護個人資料
如何保護數位化的個資?
如何保護數位化的個資?
電腦安全防護
電子郵件安全
社群網站的安全防護
行動裝置與雲端服務
電腦安全防護
登入時需要密碼
自動更新
設定防火牆
安裝防毒軟體
請勿安裝來路不明的軟體
安裝作業系統時,請依照作業系統指示建立帳號密碼
密碼設定規則
長度:8碼以上。
內容:最好為文數字、符號混合
電腦安全防護:登入時需要密碼
電腦安全防護:自動更新
記得設定Windows Update,定期更新作業系統
元智校內的Windows Update服務
http://wsus.yzu.edu.tw
電腦安全防護:設定防火牆
記得開啟防火牆服務
電腦安全防護:安裝防毒軟體
下載位置:
http://www.yzu.edu.tw/admin/is/index.php/content/view/262/246/lang,tw/
電腦安全防護:請勿安裝來路不明的軟體
請從軟體的官方網站下載軟體
請勿從MSN Messenger、電子郵件附件中下載不明的圖片、影片或執行檔
電子郵件安全
什麼是社交工程郵件?
保護電子郵件安全 不要點選來路不明的郵件
不要自動回覆讀取信件回條
關閉郵件預覽
關閉自動下載圖片的功能
勿點選來路不明的連結
以純文字方式閱讀郵件
重要資料請加密
什麼是社交工程郵件?
社交工程
以影響力或說服力來欺騙他人以獲得有用的資訊
社交工程郵件
以令人感興趣的郵件(如八卦、保健、科技新知、情色等)內容誘騙使用者開啟惡意軟體或連結。
目的
在電腦上安裝惡意軟體、木馬程式或病毒,以獲取個人身份資訊、資訊系統帳號密碼、企業內部安全或重要資訊或遠端遙控電腦(僵屍電腦)進行非法行為。
什麼是社交工程郵件?(續)
常見手法
假冒寄件者
使用與業務相關或令人感興趣的郵件內容
含有惡意程式的附件或連結
利用應用程式之弱點(包括零時差攻擊)
保護電子郵件安全:勿點選來路不明的連結
用來騙你的帳號密碼
保護電子郵件安全:勿點選來路不明的連結
用來騙你的帳號密碼
保護電子郵件安全:不要自動回覆讀取信件回條
請於「功能表」中選擇「工具」「選項」
保護電子郵件安全:不要自動回覆讀取信件回條
出現「選項」視窗後,點選「電子郵件選項」按鈕
保護電子郵件安全:不要自動回覆讀取信件回條
出現「電子郵件選項」視窗後,點選「追蹤選項」按鈕
保護電子郵件安全:不要自動回覆讀取信件回條
出現「追蹤選項」視窗後,勾選「傳送回覆前先問我」選項。設定完成後按「確定」按鈕。之後如果有郵件要求傳送讀取回條時,Outlook會出現警示視窗,您可以選擇不要回覆。
保護電子郵件安全:關閉郵件預覽
郵件預覽內容:開啓郵件預覽功能即視為讀取郵件,有可能執行郵件內容中的惡意程式碼
請於「功能表」中選擇「檢視」「自動預覽」,以關閉自動預覽功能。
保護電子郵件安全:關閉郵件預覽
讀取窗格:開啓讀取窗格功能即視為讀取郵件,也有可能執行郵件內容中的惡意程式碼
請於「功能表」中選擇「檢視」「讀取窗格」「關」以關閉讀取窗格功能。
保護電子郵件安全:關閉自動下載圖片的功能
自動下載圖片的功能預設是關閉的。
信件內容中的圖片因自動下載圖片的功能關閉,所以不會顯示的。
如果確認這封郵件的寄件者是合法的寄件者,可以點選「下載圖片」選項。或者可以將寄件者直接加入「安全的寄件者清單」中。以後這件寄件者郵件中的圖片就會自動下載。
保護電子郵件安全:勿點選來路不明的連結
Outlook預設會停止垃圾郵件中的不明連結。如果這封信不是垃圾郵件的話,可點選此處將它移至收件匣,連結就會馬上生效。
如果嘗試去點選連結,就會出現警告訊息。
保護電子郵件安全:以純文字方式閱讀郵件(續)
Outlook 2007:點選功能表中的「工具」「信任中心」
保護電子郵件安全:以純文字方式閱讀郵件(續)
Outlook 2007:勾選「以純文字讀取所有標準郵件」
保護電子郵件安全:以純文字方式閱讀郵件(續)
Outlook 2007:郵件的所有內容,包含圖片、圖片所包含的連結、其他的連結全部轉換為純文字格式。所有的連結都一目瞭然。可避免錯誤點選有問題的連結
Outlook 2007:如果要回覆成正常的格式,可以點選「以HTML顯示」,就可回覆至正常的郵件格式。
保護電子郵件安全:重要資料請加密
電子郵件數位簽章
認證寄件人的身份
傳輸過程中,郵件全程加密
簽章來源
自然人憑證,或其他第三方憑證發行單位
使用方式
http://moica.nat.gov.tw/download/File/20121026001v3-1.pdf
社群網站的安全防護
防止人肉搜索
應用程式安全性
密碼安全性
社群網站的安全防護:防止人肉搜索
隱私設定— 只限朋友可以搜尋
社群網站的安全防護:防止人肉搜索
隱私設定—你的人際關係鏈
社群網站的安全防護:防止人肉搜索
隱私設定—只限朋友可以搜尋你的資料
社群網站的安全防護:防止人肉搜索
隱私設定—動態時報與標籤
社群網站的安全防護:防止人肉搜索
隱私設定—限制哪些人才可以看到動態時報的內容
社群網站的安全防護:應用程式安全性
應用程式會蒐集個人資訊,不用時就移除它!
社群網站的安全防護:應用程式安全性
請刪除不用的應用程式
社群網站的安全防護:應用程式安全性
遊戲程式要讀那麼多個資!
移除它!(不過要一個個移,很累)
行動裝置與雲端服務
行動裝置與個資安全
雲端服務種類
加強行動安全防護
行動裝置與個資安全
什麼是行動裝置?
因電子元件技術提昇,開始出現小型便於攜帶的各類電子裝置
種類
個人數位助理(PDA)
智慧型手機
筆記型電腦
平板電腦
行動裝置與個資安全(續)
BYOD(Bring Your Own Device)
缺乏安全防護(作業系統未更新、未安裝防毒軟體、可能已被植入後門)
缺乏控管機制(未實行登記制度,可自由攜帶)
雲端服務
什麼是雲端服務?
使用終端裝置(個人電腦或行動裝置),透過網際網路連線至服務提供者,就可使用其服務。
種類
電子郵件及行事曆(Gmail, Google Calendar)
雲端硬碟(Google Drive, Dropbox)
雲端筆記本(Evernote, Remember To Milk)
文件服務(Google Doc)
加強行動安全防護
無所不在的行動運算 行動裝置 + 雲端服務 = Data anywhere
Data anywhere = Data lost anywhere
加強安全防護 安裝防毒軟體
密碼防護(雲端服務、行動裝置)
機敏性資料(加密、勿存放於雲端)
拒絕盗版軟體及來路不明的App
選擇安全的無線網路服務
請勿使用公用電腦處理公務
加強安全防護:安裝防毒軟體
Android
Norton Security & Antivirus
McAfee Antivirus & Security
Worry-Free行動安全防護
AVG免費殺毒
iOS(for iPhone)
Mobile Security & Cloud MDM
加強安全防護:密碼防護
登入行動裝置時需要密碼
登入雲端服務時一樣需要密碼
個資檔案的保護
檔案加密
Office儲存檔案時可設定密碼
另存成PDF檔案
個資外洩時的處理方式
查明個資外洩的方式、管道、負責人員 阻斷個資外洩管道,並通知相關業管單位 清查外洩個資的範圍及內容,並保全相關記錄 通知受害當事人
公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人(12)
準備相關文件以證明已盡妥善管理責任 非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權力者,負損害賠償責任。但能證明其無故意或過失者,不在此限(29)。
如何妥善保護個人資料
問題與討論
